Socket vai além de JavaScript e Python e entra em Go • The Register

Jul 31, 2023

Entrevista A empresa de segurança de código aberto Socket está estendendo seu verificador de dependência de código-fonte, que anteriormente abordava apenas JavaScript e Python, adicionando suporte para verificação de código Go.

Ao anunciar uma rodada de financiamento da Série A de US$ 20 milhões, a loja de segurança teve uma semana agitada com três adições ao seu kit de ferramentas de código:

“O software de código aberto revolucionou a forma como desenvolvemos aplicações, mas também trouxe o seu próprio conjunto de desafios”, disse o seu CEO, Feross Aboukhadijeh, ao The Register. “Uma das maiores é garantir a segurança da vasta rede de dependências da qual dependem os aplicativos modernos.”

"Os aplicativos usam tantas dependências que isso confunde a mente. Um exemplo ilustrativo é o cliente de desktop Discord, que usa mais de 19.000 dependências construídas por mais de 380.000 colaboradores de mais de 200 países."

Ao estender-se a Go, Aboukhadijeh disse que Socket está tentando ajudar os desenvolvedores a criar software mais seguro, identificando riscos de segurança. Ou fará isso daqui a dois dias, de acordo com a data de publicação do anúncio em 3 de agosto de 2023.

Go, disse Aboukhadijeh, "é uma linguagem que tem sido rapidamente adotada pela comunidade de desenvolvedores, especialmente entre clientes de Socket. Go é conhecida por sua simplicidade e eficiência, o que a torna uma escolha popular para aplicativos de alto desempenho. No entanto, como qualquer linguagem , não está imune a riscos de segurança, especialmente por causa de sua abordagem descentralizada de busca de dependência baseada em VCS."

O Socket, que estreou no ano passado, tem um nível gratuito para desenvolvedores individuais, além de níveis pagos para equipes e empresas. Ele se diferencia dos concorrentes ao observar que, embora existam outros scanners de segurança para avaliar pacotes de código aberto, eles geralmente analisam vulnerabilidades conhecidas. O Socket adota a abordagem oposta e parte do pressuposto de que todos os pacotes de código aberto podem ser maliciosos.

“O Socket analisa o comportamento de um pacote para capturar scripts de instalação, código ofuscado, APIs privilegiadas como shell, rede, sistema de arquivos e variáveis ​​de ambiente”, tuitou a loja de segurança no ano passado.

O surgimento do Socket segue a recente descoberta de ataques significativos à cadeia de fornecimento de software. Isso inclui tentativas de comprometer aplicativos de software por meio de bibliotecas ou scripts de terceiros executados durante o processo de construção e integração.

A proliferação de tais ataques levou a um mandato federal dos EUA para que os programadores documentassem as suas práticas de desenvolvimento de software através de uma Lista de Materiais de Software (SBOM), entre outras iniciativas relacionadas.

Socket também introduziu uma extensão de navegador gratuita para navegadores baseados em Chromium, Firefox, que visa revelar dados analíticos de segurança para pacotes de código hospedados com o registro NPM. Uma versão do plugin também está chegando para o navegador Safari da Apple.

“Nosso objetivo é produzir informações que, de outra forma, levariam horas de pesquisa para os desenvolvedores descobrirem e colocá-las ao alcance dos desenvolvedores no momento crucial em que eles estão procurando por um novo pacote de código aberto para adicionar ao aplicativo”, disse Aboukhadijeh. .

Tornou-se bastante comum que criminosos tentem inserir código comprometido no gerenciador de pacotes NPM para JavaScript, para que desenvolvedores desavisados ​​adicionem as bibliotecas subvertidas aos seus aplicativos. A extensão do navegador Socket vasculha páginas da web de pacotes NPM para que seja mais fácil ver se há motivo para suspeita.

“O desafio de proteger software de código aberto é recursivo”, disse Aboukhadijeh. "Não se trata apenas de os desenvolvedores de aplicativos escolherem dependências seguras, mas também de essas próprias dependências dependerem de dependências seguras e assim por diante. Essa complexidade ressalta a importância de tornar as informações de segurança amplamente acessíveis."

Aboukhadijeh disse que a Socket tem o prazer de fornecer dados de análise de segurança gratuitamente em seu site e apontou um exemplo de como esses dados podem alertar os desenvolvedores contra códigos ruins.

"Por exemplo, aqui está um relatório de pacote de soquete para um pacote carregado de malware que, até a publicação, ainda está hospedado pelo NPM: https://socket.dev/npm/package/bobjoll/overview/6.640.3. Para desenvolvedores que desejam indo mais fundo, o Socket fornece um link direto para o arquivo malicioso aqui: https://socket.dev/npm/package/bobjoll/files/6.640.3/scripts/script.js"